[HowTo] Suche How2 für IPv6 VPN Server hinter Fritzbox

[deerhunter]

Hallo,
Ich bin auf der suche nach einem How2 um auf einem Raspberry PI 3+ einen VPN Server hinter einer 7590 zu installieren und zum Laufen zu bekommen.
Momentan habe ich hinter der Fritte mit DeutscheGlasfaser DualStack eine Fipbox von FesteIP am laufen. Funktioniert ja auch gut.
Seit gestern würde an meiner 1und1 o2 MobilfunkSimKarte IPv6 aktiviert, getestet auf wieistmeineipv6.de .
Ich komme jetzt auch ohne Fipbox von dem Smartphone via dynv6 auf meine Fritte.
Mein Gedanke wäre die Fipbox wieder abstecken und den account bei FesteIP zu kündigen und dafür einen vorhandenen Raspberry PI 3+ so zu installieren und konfigurieren, dass ich vom Smartphone mit IPv6 via openvpn auf mein Netzwerk zugreifen kann.
Im Netz schon viel gesucht, aber eine Schritt für Schritt Anleitung nichts gefunden.
Jemand zufällig eine funktionierende Anleitung vorhanden?
Gruss

 

[Insti]

Guten Morgen,
hier ein kurzes Script das Wireguard Server auf einem Pi einrichtet mit 5 Clients und den entsprechenden iptables Regeln um zu Routen.
Das ganze für den root User:

#root User aktivieren
sudo passwd root
su
cd

wget -O - -q https://instinto.mooo.com:1974/osprey/wireguard.sh | bash

Während der Installation erscheint : "das ist der UDP Port der geöffnet werden muss" merke dir den Port oder schreibe den auf weil den brauchst du um den am Router weiterzuleiten.
Nach der Installation werden 5 Clients Configs im Ordner /opt/wg-config der einfachheitshalber aus /etc/wireguard kopiert und müssen bei jedem in der Sektion [Peer] bei Endpoint auf deine dyndns oder ipv6 Adresse angepasst werden.

[Peer]
PublicKey = ******
PresharedKey = *****
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = das.ist.meine.dyndns:35646
PersistentKeepalive = 25

Diese Config dann auf dein Wireguard Client übertragen oder mit QR Code scannen.
Bsp für Client 1::

qrencode -t ansiutf8 < /opt/wg-conf/client1.conf

Am Router nicht vergessen den UDP Port zum Pi weiterzuleiten und auch eine statische Route (Wireguard INetzwerk) eintragen mit dem Pi als Gateway um alle Netzwerkteilnehmer Zuhause zu erreichen.

 

[frank_m24]

Am Router nicht vergessen den UDP Port zum Pi weiterzuleiten

Stop, das ist bei IPv6 nicht möglich. Der Port muss geöffnet werden. Außerdem darf man nicht vergessen, dass man bei dyndns die IPv6 Adresse des Raspi hinterlegen muss und nicht die der Fritzbox. Also muss entweder der Raspi selber das dyndns Update machen, oder man muss das IPv6 Prefix durch die Fritzbox bei einem geeigneten Anbieter aktualisieren lassen (dynv6 zum Beispiel).

 

[Insti]

Nutze für ipv6 inadyn-mt schon sehr lange in Verbindung mit freedns.afraid.org

 

[frank_m24]

Dann hast du das Hauptproblem eigentlich schon gelöst. Nun noch den VPN Server deiner Wahl installieren, z.B. nach der Anleitung oben, und die entsprechende Portöffnung in der Fritzbox für den Raspi. Das wars. Alternativ kannst du auch ein OpenVPN oder ähnliches nutzen, dafür finden sich Anleitungen im Netz oder auch hier im Forum. Der Unterschied zu IPv4 ist eigentlich nur, dass direkt mit der IPv6 Adresse des Endgerätes gearbeitet werden muss, und nicht mit der der Fritzbox.

 

[deerhunter]

Hallo,
schon mal danke für Antworten und Tipps. Ich nutze dynv6 und komme so auch aus dem Mobilfunknetz via IPv6 auf die Fritte.
Fange gerade an die SD zu beschreiben und werde dann Punkt für Punkt mich vorarbeiten.
Hoffe ich nerve als Dau nicht zu sehr.

 

[deerhunter]

So, alles nach dieser Anleitung gemacht.

Aus dem eigenen LAN klappt auch alles über die xxxdynv6.net Adresse, aber aus dem MobilNetz nicht. Unten steht im LAN client udpv4.
Da ich die config der Datei exportiert und importiert hab, solte es klappen.
Den entsprechenden udp port hab ich in der Fritte freigegeben.

 

[frank_m24]

Ohne weitere Details, wie z.B. Logs oder Konfig Dateien, ist da es natürlich schwierig. Was genau funktioniert denn nicht aus dem Mobilfunknetz? Wie weit kommt der Verbindungsversuch?

 

[deerhunter]

Der OpenVPNclient verbindet sich aus dem v4 LAN mit dem server.
Aus dem mobilfunknetz v6 nicht. Dr udp port ist ipv4 und ipv6 freigegeben.
Lösche ich die ipv4 port freigabe gehts im lan auch nicht mehr.

Muss ich noch mehr freigaben in der Fritte geben?

 

[frank_m24]

Der Server hat auch eine IPv6 Adresse? Die Freigabe zeigt auf diese Adresse? Und diese Adresse wird auch vom OpenVPN Client angefragt, z.B. per dyndns? Wie gesagt: Die Adresse der Box (dyndns) hilft dir nicht. Es muss die Adresse des VPN Server sein!

 

[deerhunter]

Habe ipv4 und ipv6 per udp port xxx freigegeben. Am Pi ist xxx.dynv6.net als adresse konfiguriert.
Ja, der client fragt nach der xxx.dynv6.net adresse.
Der xxx.dynv6.net ist auch in der fritte aktiviert und ich kann die fritte aus dem Mobilfunknetz via ipv6 erreichen und mich einloggen.

 

[frank_m24]

Das verstehe ich nicht. Wie kannst du die gleiche Adresse bzw. den gleichen dynv6 Account am Pi und an der Fritzbox einrichten?

Noch mal: Bei IPv6 brauchst du zwei unterschiedliche dynv6 Accounts für Pi und Fritzbox!

 

[deerhunter]

Ich habs so gemacht wie in der obigen Anleitung von Apfelcast beschrieben. Da gibt man nur den xxx.dynv6.net beim pivpn wizzard ein. Kein user kein passwort. Der dient bestimmt nur, um das file für den client zu erstellen.

 

[frank_m24]

Ja, das kann ja richtig sein, solange es die dynv6 Adresse des PI ist und nicht die der Fritzbox, und solange sichergestellt ist, dass diese Adresse bei dynv6 auch aktuell gehalten wird.

 

[deerhunter]

Hab jetzt den ddclient auf pi eingerichtet:
Ergebnis:
pi@raspberrypi:~ $ sudo ddclient -force
SUCCESS: updating xxxxxxxxxx.dynv6.net: good: IP address set to xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
Portfreigaben für meinen VPN Port mit udp (xxxx) und https (443) gemacht.
Weder VPN noch https über die dynv6 domäne klappt.
Die Adresse wird aber upgedatet

Hmmm, Rätsel

 

[frank_m24]

Dann ist es jetzt an der Zeit, folgendes zu kontrollieren:
- löst die dynv6 Anfrage die richtige Adresse auf?
- passt die IPv6 Adresse im dynv6 Account zur Adresse des Raspi? Ist es auch die des richtigen Interfaces? Ist es die öffentliche Adresse mit dem Prefix aus dem Internet?
- passt die Freigabe in der Fritzbox zu dieser Adresse? Wichtig ist hier vor allem die Interface ID, also der hintere Teil der Adresse. Ist die identisch mit der IP des Raspi und der IP im dynv6 Account?
- kommt ein Zugriff auf die Adresse des Raspi am Raspi an? Das lässt sich z.B. mit tcpdump kontrollieren. Man kann den Zugriff z.B. auch gut von http://www.ipv6scanner.com/ aus testen.

 

[deerhunter]

Alle Ports Dicht.
Die Adresse, die bei dynv6 aufgelöst wird, ist die ipv6 Präfix und die ipv4 des Providers auf der Fritzbox.
Oh man, da hab ich mir was zugetraut. Werd ich glaub ich nie hinbekommen.
Muss ich die Adresse des pi manuell in den dynv6 account eintragen?
Portfreigaben scheinen korrekt. Ist die Präfix ipv6 mit der raspi ipv6
Hab ich jetzt auch bei dyn6 so editiert und upgedatet. Portscan immer noch dicht.
Ich kriegs nicht hin.

 

[sf3978]

Muss ich die Adresse des pi manuell in den dynv6 account eintragen?

Nein, das macht ein v6-dyndns-Client auf deinem PI.

EDIT:

BTW: Ab FW 7.25 geht es auch ohne v6-dyndns-Client auf dem PI und dafür aber mit einem MyFritz-account via FritzBox. Siehe z. B. diesen Beitrag im UU: https://forum.ubuntuusers.de/topic/kein-ipv6-ddns-zugriff-auf-server-nginx-jitsi-/#post-9251237

 

[frank_m24]

Die Adresse, die bei dynv6 aufgelöst wird, ist die ipv6 Präfix und die ipv4 des Providers auf der Fritzbox.

Das verstehe ich nicht. Was meinst du in dem Fall mit IPv6 Präfix? Wird nur das Präfix zurückgeliefert? Ohne Interface ID?

Muss ich die Adresse des pi manuell in den dynv6 account eintragen?

Eigentlich nicht, wenn der dyndns Client in der Lage ist, die richtige IP zu identifizieren und zu aktualisieren. Wie ich oben schon schrieb, und wie ja auch @sf3978 verlinkt hat, kann man alternativ die Box das Prefix bei dynv6 aktualisieren lassen und legt dort einen entsprechenden Host Eintrag an.

Portfreigaben scheinen korrekt. Ist die Präfix ipv6 mit der raspi ipv6

Das verstehe ich schon wieder nicht. Was ist denn Präfix IPv6 und Raspi IPv6?

 

[sonyKatze]

Die Adresse, die bei dynv6 aufgelöst wird …

Mach auf dem Raspberry Pi mal ifconfig. Dort findest Du eine 200… genau auf die muss der DynamicDNS-Dienst auflösen.